ESET/サイバーセキュリティ情報局
★4が事実上の参入条件に? 2026年始動「セキュリティ対策評価制度」とは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2026年度中に運用開始予定の「セキュリティ対策評価制度」とは?深刻化するサプライチェーン攻撃にどう備えるべきか」を再編集したものです。
サプライチェーン攻撃の増加を背景に、企業間取引におけるセキュリティ対策の成熟度を可視化する「セキュリティ対策評価制度」が、2026年度中の運用開始に向けて検討されている。今後は取引先に一定の評価レベルの取得を求めるケースが増える可能性があり、中堅・中小企業にとっても無視できない制度となる。本記事では、制度の概要と企業への影響を解説するとともに、実践的なセキュリティ対策やマネージドサービスの活用について紹介する。
あらゆる企業で対策が求められるサプライチェーン攻撃
サプライチェーン攻撃が頻発し、社会的な問題となって久しい。サプライチェーン攻撃とは、企業間の取引で形成されるネットワークである「サプライチェーン」の脆弱性を突き、標的とする企業へ侵入する手法を指す。その際、セキュリティ対策が十分でない中堅・中小企業を踏み台に、大企業や官公庁が標的となるケースも多い。こうした背景から、企業規模や業種を問わず、あらゆる企業で対策が求められている。
サプライチェーン攻撃を起点としたランサムウェア被害も少なくない。攻撃者はまず、セキュリティの脆弱な取引先企業に侵入し、企業間のやり取りを足掛かりに標的企業へ攻撃を横展開する。その後、標的企業のIT環境にランサムウェアを感染させ、情報窃取や身代金要求へとエスカレートさせる手口が一般化している。
国内大手通販会社で発生したインシデントでは、業務委託先が保有する管理者アカウントが不正利用され、正規アカウント経由でシステムに侵入された。侵入後には、防御機能の無効化や権限の悪用が行われ、最終的にランサムウェアが実行されるに至った。この攻撃により、基幹システムは長期間停止し、約74万件に及ぶ顧客・従業員情報が流出する重大な情報漏えい事案となった。復旧には3カ月以上を要したとされる。同社は事後対策として、影響範囲の詳細調査や、安全性強化策の実施、BCPの見直しに取り組む方針を示している。
ランサムウェア被害は、各種調査でも増加傾向が明らかである。チェック・ポイント・リサーチ社の調査では、2025年第3四半期には世界で1,592件(前期比25%増)のランサムウェア被害が報告されている。中でも、日本の大手企業への攻撃で注目されたQilinグループが、最も活発に活動していることが示されている。
警察庁によるレポート「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」でも、ランサムウェア被害は116件を記録し、令和4年下半期と並ぶ最多となった。また、IPA「情報セキュリティ10大脅威2026」では、ランサムウェア被害が1位、サプライチェーン攻撃が2位に挙げられている。
このように、サプライチェーン攻撃や、それを起点とするランサムウェア攻撃への対策は、企業にとって喫緊の課題となっている。
サプライチェーン攻撃はなぜ起こる?中小・零細企業が講じるべき対策とは?
https://eset-info.canon-its.jp/malware_info/special/detail/220714.html
経済産業省「セキュリティ対策評価制度」の方針
サプライチェーン全体でのセキュリティ対策の強化が求められる中、経済産業省は企業間取引におけるセキュリティ対策の成熟度を可視化する「セキュリティ対策評価制度」の実施を2025年12月に公表し、意見公募を開始した。制度の運用開始は2026年度中を予定している。
以下に、セキュリティ対策評価制度の概要を解説する。
1)制度の目的
企業間取引では、発注企業が取引先におけるセキュリティ対策の状況を十分に把握するのは限界があり、要求事項を満たしているかを判断することは難しい。本制度の目的は、客観的な評価を得ることであり、それによって取引先に求める対策の内容や要求水準の設定、実施状況の把握が行いやすくなる。
委託先企業にとっても、本制度は自社のセキュリティ対策の水準を判断する指標として活用できる。本制度の実施によって、サプライチェーン全体を通したセキュリティ対策の底上げが進み、経済・社会全体のサイバーレジリエンスの強化につながることが期待されている。
2)適用範囲
本制度では、事業継続性、データ保護、不正アクセスに関するリスクを主な評価対象とする。企業の業務を支えるIT基盤やサーバー群が含まれ、特に公開サーバー(Web、メール)が重要な評価対象となる。加えて、クラウドサービス、親会社のネットワーク、エンドポイント機器、外部ネットワーク(ファイアウォール、ルーター、VPN)も適用範囲に含まれる。
3)評価項目
評価項目は、NIST(米国国立標準技術研究所)が策定したCSF(サイバーセキュリティフレームワーク)を元に「取引先管理」が追加されたものとなっている。具体的には、以下のように分類されている。
・ガバナンスの整備
・取引先管理
・リスクの特定
・攻撃などの防御
・攻撃などの検知
・インシデントへの対応
・インシデントからの復旧
これら7つの分類について、それぞれのレベルに応じた達成要件が設定されている。
4)評価レベル
先行する自己評価制度「SECURITY ACTION」では★1、★2が定義されているため、本制度では★3、★4、★5が新たな評価区分として定義されている。
★3:一般的なサイバー攻撃リスクを想定し、基礎的な組織的対策とシステム防御策が整備された状態を指す。専門家確認付きの自己評価による取得が想定されており、サプライチェーンに関わるすべての企業が最低限到達すべき水準として位置づけられている。
★4:サプライチェーン攻撃や情報漏えいなど、事業継続に重大な影響を及ぼすリスクへの対策を想定したレベルである。組織ガバナンス、取引先管理、システム防御・検知、インシデント対応といった包括的なセキュリティ対策の実施が求められる。取得には第三者による評価が前提となり、サプライチェーンに関わる企業が標準的に目指すべき水準とされる。
★5:未知の攻撃を含む高度なサイバー攻撃に対応できる水準であり、ISO27001など国際規格に基づくリスクベースの考え方を取り入れた高度なサイバーレジリエンス対策が整備されている状態を指す。サプライチェーンに関わる企業が最終的な到達点として目指すべきレベルであり、運用開始時期は★3・★4より後になる予定である。
セキュリティ対策評価制度が及ぼし得る影響
業務を発注する企業では、取引先を踏み台としたサプライチェーン攻撃による損害リスクを強く意識するようになっている。特に大企業では、なぜその取引先を選定したのか、その企業がどのような対策を講じていたのかといった説明責任が問われる。しかし現状では、取引先の対策状況を客観的に把握する手段が十分ではなく、説明責任を果たすことが難しい。
セキュリティ対策評価制度が導入されれば、発注企業は取引先の対策状況をより明確に把握できるようになる。結果として、一定の評価レベルの取得を取引条件とする動きが広がる可能性が高い。ISO認証やISMS(情報セキュリティマネジメントシステム)と同様、制度上は任意であっても、業界によっては評価取得が事実上の参入条件になるケースも想定される。
★3は最低限の体制整備を示す水準であり、機密性や重要性の高い業務では不十分と判断される可能性がある。★4は継続的な運用体制と第三者評価を含むレベルであり、発注企業が安心して業務を委託できる基準として機能すると考えられる。
一方、中堅・中小企業では、人材やリソースの不足、運用の属人化といった課題を抱えている場合が多い。このような状況では★4の取得は容易ではない。また、セキュリティツールを導入していても、社内プロセスが明確に定義されていなければ、第三者評価において運用体制が不十分だと判断され、評価取得が難しくなる可能性が高い。
なお、セキュリティ対策評価制度の第三者評価を担う民間サービスについては、国による認定制度の創設が予定されている。指定委員会の指定を受けた評価機関のもとで、セキュリティ専門家による文書確認、実地調査、技術検証が実施される見通しである。
サプライチェーン攻撃対策としてのゼロトラスト
セキュリティ対策評価制度への対応では、ISO認証やISMSの要求事項と整合させつつ、システムへの具体的な対策実装と、それを継続的に運用するマネジメント体制の確立が求められる。多様化・高度化が進むサイバー攻撃に対処するには、従来の境界型防御よりもゼロトラストの考え方が適している。境界型防御では、一度VPNなどの入口が突破されると、横展開によって被害が拡大しやすく、アクセス検証やログ管理も十分に機能しないケースが多い。
一方、ゼロトラストは「すべてのアクセスを信頼せず、常に検証する」というポリシーに基づき、アクセス制御やログ管理を強化するアーキテクチャーである。アクセス状況を継続的に可視化できるため、第三者への説明責任を果たしやすく、インシデント発生時の影響範囲を最小限に抑えやすい点も利点となる。
また、ゼロデイ攻撃などの高度な脅威は従来型のウイルス対策ソフトでは検知が難しいため、エンドポイント監視の導入が有効である。振る舞い検知やリアルタイム監視を組み合わせることで、未知の攻撃に対しても早期の異常検知が可能になる。
サプライチェーン全体が攻撃経路となり得る現在、ゼロトラストは厳格なアクセス制御によってリスク低減に寄与するだけでなく、不正侵入後の横展開を防ぎ、被害の最小化や不審な振る舞いの可視化にもつながる。実際、2025年後半には国内大手企業が相次いでランサムウェア攻撃の被害を受け、大きな損害が発生した。VPNの脆弱性を突く攻撃も頻発しており、VPNに依存しないゼロトラストアーキテクチャーの重要性は一層高まっている。
被害遭遇が致命傷になることも。改めて向き合うべきランサムウェア対策とは?
https://eset-info.canon-its.jp/malware_info/special/detail/251104.html
中堅・中小企業におけるゼロトラストセキュリティの実装と運用を支援するVerona
中堅・中小企業が★4以上の評価取得を目指す場合、セキュリティツールの導入だけでは不十分であり、継続的に運用できる体制の整備が欠かせない。しかし現実には、自社のリソースだけで安定した運用体制を構築することは難しく、予算や人員が限られる企業では、ツールが問題を検知しても迅速かつ適切に対応できないリスクがある。
こうした運用上の課題を補うには、監視から対応までを一括で提供するマネージドサービスの活用が効果的である。自社リソースが不足していても、マネージドサービスを利用することで、★4以上で求められる運用・監視・対応のプロセスを現実的なコストで整備できる。評価制度の要求を満たす上で有力な選択肢となる。
ゼロトラストセキュリティを実現するフルマネージドSASE「Verona」は、こうした要求に対応するサービスの1つである。ゼロトラストの実現に必要な機能を網羅し、VPNに代わる安全なリモートアクセス環境を提供する。
1)侵入後の横展開を防御
従来の境界型防御に基づくVPN経由のアクセスでは、攻撃者が一度侵入すると内部ネットワークに広がりやすいという課題があった。Veronaを導入することで、ゼロトラストに基づくアクセス制御とネットワーク分離(マイクロセグメンテーション)を実現し、侵害後の横展開リスクを低減できる。サプライチェーンを起点とするランサムウェア攻撃対策として有効である。
2)場所を問わず安全にアクセス
社内システムやクラウドサービスへのアクセスを、社内外を問わず統一されたポリシーで保護できる。テレワークやハイブリッドワーク環境でもセキュリティを担保できる点が特長であり、不正アクセスの防止に加えて侵入後の被害拡大の抑制にも寄与する。
3)運用負荷・設定負担の軽減
Verona のフルマネージド運用では、設定変更、ログ監視、障害対応などの作業を専門エンジニアに委託できる。★4以上で求められる運用体制の整備を支援し、第三者評価をクリアできるセキュリティ環境の構築を後押しする。
ESET PROTECT MDRによる包括的なセキュリティ対策と運用体制
エンドポイントからの侵害対応を強化するには、EDR(Endpoint Detection and Response)の導入が効果的である。特に、人員やリソースに制約のある中堅・中小企業では、運用作業をアウトソースできるマネージドサービスの活用が現実的な選択肢となる。
マネージドサービスであるESET PROTECT MDRは、専門家による24時間365日の監視体制を備えている。インシデントの解析から対応方針の立案、実行支援までを一貫して提供するため、単なる検知にとどまらない高度な支援が受けられる。中堅・中小企業では特に、不足しがちなセキュリティ人材を補完し、運用プロセス構築にかかる負荷やコストを抑制できる点が大きな利点である。
1)ゼロトラスト運用を支える検知・対応基盤
ESET PROTECT MDR は、ゼロトラストにおける「侵入後の継続的な検証と対応」を担うソリューションである。エンドポイント保護とEDR/XDRを統合し、従来のウイルス対策では検知が難しい侵入後の不審な活動を可視化・検出する。継続的な検証プロセスに加え、自動化と専門家による分析を組み合わせることで、★4以上の評価取得に求められる運用レベルの実現を支援する。
2)サプライチェーン攻撃対策
ESET PROTECT MDR は、エンドポイントからクラウドサービスまで幅広いログやアクティビティデータを取得・分析するXDR基盤を備えている。さらに、セキュリティ専門チームが24時間365日の監視と運用を担当することで、侵入後の脅威を見落とさずに検知し、迅速な初動対応を可能にする。
サプライチェーン攻撃のように侵入経路が特定しにくい脅威に対しても、振る舞い分析によって早期検知を支援し、適切な判断や対応につなげられる。
3)ランサムウェア対策
高度なエンドポイント保護機能により、ネットワーク保護、振る舞い検知、機械学習を組み合わせた多層的な検出を実現する。ランサムウェア攻撃の阻止や拡大防止に貢献し、脅威を検知した際にはネットワーク隔離、駆除支援、フォレンジック調査などの初動対応を迅速にサポートする。
EDR運用負荷を軽減!成功事例からわかるESET PROTECT MDRが選ばれる理由
https://eset-info.canon-its.jp/malware_info/special/detail/251216.html
説明責任を果たし、取引を守るためのセキュリティ対策
セキュリティ対策評価制度は、社会問題化しているサプライチェーン攻撃への対策として導入が決定された。説明責任を強化したい大企業(発注企業)は、第三者による客観的な評価をクリアした★4の取得を取引継続の条件とするケースが増えると見込まれる。
こうした状況を踏まえると、中堅・中小企業が今後も取引を維持し、ビジネスを成長させるためには★4以上の取得が重要となる。単にセキュリティツールを導入するだけでは不十分であり、監査に対応できる運用プロセスの整備が不可欠だ。特に、サプライチェーン攻撃やランサムウェアを検知し、迅速に対応するためには、SASE、EDR、XDRといった技術的対策に加え、第三者評価に耐え得る運用体制を構築するマネージドサービスの活用が有効となる。
セキュリティ対策評価制度への対応は、単なるコスト増ではなく、制度導入後も取引を継続するための「戦略的な投資」として捉えるべきである。各企業は、説明責任を果たし、取引先から信頼されるセキュリティ水準を確保するために、積極的に取り組む必要がある。
本記事はアフィリエイトプログラムによる収益を得ている場合があります